У Microsoft визнали проблему у всіх версіях Windows, через яку хакери можуть атакувати практично будь-який пристрій

Дослідники компанії Microsoft випустили квітневий набір патчів і виправили 97 вразливостей у своїх продуктах. Серед них — проблема нульового дня, яку активно використовували кіберзлочинці для розгортання програм-вимагачів Nokoyawa.

Вразливість CVE-2023−28 252, пов’язана з підвищенням привілеїв до рівня SYSTEM у драйвері Windows Common Log File System (CLFS) впливає на всі підтримувані серверні та клієнтські версії Windows. За словами спеціалістів з безпеки, проблема може бути використана локальними зловмисниками в атаках, які не потребують взаємодії з користувачем.

У Microsoft не надали жодних додаткових відомостей про експлуатацію проблеми та не випустили індикатори компрометації, щоб допомогти іншим спеціалістам у пошуку ймовірних заражень. Вразливість виявили і допомогли виправити дослідники Mandiant і DBAPPSecurity. Саме ця вразливість нульового дня використовувалась операторами здирника Nokoyawa.

Програма-вимагач Nokoyawa активна приблизно з червня 2022 року, раніше її оператори вже використовували інші експлойти, націлені на CLFS зі схожими характеристиками. Звіт дослідників свідчить, що група хакерів використовувала щонайменше п’ять CLFS-експлойтів для атак на низку галузей, включаючи роздрібну та оптову торгівлю, енергетику, виробництво, охорону здоров’я та розробку програмного забезпечення.

Окрім CVE-2023−28 252 цього місяця були виправлені вразливості в Microsoft Office, Word і Publisher, які можуть використовуватися для віддаленого виконання коду при відкритті шкідливих документів. Ці баги отримали ідентифікатори CVE-2023−28 285, CVE-2023−28 295, CVE-2023−28 287 та CVE-2023−28 311.